El quince de noviembre del año dos mil veinticuatro fue publicado en el Diario Oficial el Decreto Legislativo número 113, el cual contiene la Ley de Ciberseguridad y Seguridad de la Información. 

El objeto de la ley es establecer los principios rectores y el marco legal que permita estructurar, regular y fiscalizar las medidas de ciberseguridad y seguridad de la información de los sistemas informáticos de los sujetos obligados a su cumplimiento: instituciones públicas, entidades que administren recursos públicos o entidades que ejecuten actos de la administración pública. Dentro de los puntos más relevantes de la ley se destacan:  

  • El Art. 4 conceptualiza los términos más relevantes para el adecuado desarrollo de la ciberseguridad y seguridad de la información en el marco legal salvadoreño, determinando qué actos o circunstancias deberán considerarse amenazas, incidentes, vulnerabilidades o riesgos cibernéticos o informáticos.  
  • El Art. 6 de la normativa desarrolla las obligaciones de los sujetos obligados. Las principales obligaciones son: i) implementar sistemas de gestión de ciberseguridad y seguridad de la información; ii) elaborar estrategias de seguridad informática y de la información apegados a estándares internacionales; iii) mantener un registro actualizado de todas las acciones ejecutadas que compongan el sistema de gestión; y iv) implementar planes de continuidad operacional y ciberseguridad.  

Una de las novedades más relevantes de la Ley de Ciberseguridad y Seguridad de la Información es la creación de la Agencia de Ciberseguridad del Estado. Las principales atribuciones de la agencia son:  

  • Elaborar la política de ciberseguridad y seguridad de la información de la nación; 
  • Emitir la normativa, protocolos y lineamientos técnicos en materia de ciberseguridad y seguridad de la información; y 
  • Implementar los programas de acción necesarios para responder a las amenazas o incidentes de ciberseguridad y seguridad de la información. 

El capítulo III de la normativa establece sanciones administrativas para los sujetos obligados que incumplan las obligaciones contempladas en esta. Las infracciones serán clasificadas como leves, graves o muy graves. Las multas para las infracciones leves son entre uno a diez salarios mínimos mensuales del sector comercio, para las infracciones graves el rango es entre once y cincuenta salarios mínimos mensuales y para las infracciones muy graves el rango es entre cincuenta y un a cien salarios mínimos mensuales. Para los infractores pertenecientes al sector público, adicional a la sanción pecuniaria, las infracciones conllevan amonestaciones, despidos o destituciones del cargo dependiendo de la infracción o reincidencia. 

La ley se encuentra vigente a partir del 28 de noviembre de 2024.

Para más información, contáctenos a [email protected]